三、 网络访问保护强制机制

　　在Windows Server 2008 中，网络访问保护提供了一个灵活的平台，包含了多中强制机制：

　　DHCP强制：这是一种非常简单有效的强制方式，通过SHA反馈的客户端健康状态来限制哪些客户端可以获得DHCP地址来访问网络。但此方式的缺点在于客户端可以自行更改IP地址来进行网络访问。不过在结合活动目录域管理后，此强制模式效果会非常好。

　　VPN强制：对于经常漫游的客户端来说，网络访问保护机制同样有效。虽然采用加密隧道方式跨越了非安全网络，但网络访问保护依然可以检测并控制客户端计算机的健康状态。

　　802.1X强制：此强制方式多用于使用无线网络的客户端访问场景。802.1X基于端口强制，NPS服务器可通过IP筛选器或VLAN标识符限制来自客户端的网络访问。

　　IPsec强制：IPsec通过使用证书来加密所有通信，获得极高的安全性。通过检测客户端的系统健康状态来控制哪些客户端可以担当IPsec客户端，来保护NAP客户端之间的通信安全。

　　远程桌面网关强制：这是为Windows Server 2008 R2中的远程桌面服务角色提供的一种全新强制方式，这种方式通过监视远程桌面客户端系统的健康状态，来保障内部网络的安全。